Un serveur d’accès réseau est un appareil qui fournit un certain niveau d’accès à un réseau de grande taille. Un serveur d’accès réseau utilisant une infrastructure RADIUS est également un client RADIUS, qui envoie des demandes de connexion et des messages de gestion de comptes à un serveur RADIUS à des fins d’authentification, d’autorisation et de gestion.
 | Important |
|
Les ordinateurs clients, notamment les ordinateurs portables sans fil et autres ordinateurs dotés de systèmes d’exploitation clients, ne sont pas des clients RADIUS. Les clients RADIUS sont des serveurs d’accès réseau (par exemple, des points d’accès sans fil, des commutateurs 802.1X, des serveurs de réseau privé virtuel et des serveurs d’accès à distance) parce qu’ils utilisent le protocole RADIUS pour communiquer avec des serveurs RADIUS, tels que les serveurs NPS (Network Policy Server). |
Pour déployer NPS comme serveur RADIUS, proxy RADIUS ou serveur de stratégie NAP (Network Access Protection), vous devez configurer les clients RADIUS dans NPS (Network Policy Server).
Exemples de clients RADIUS
Voici quelques exemples de serveurs d’accès réseau :
-
Serveurs d’accès réseau qui permettent l’accès à distance au réseau d’une organisation ou à Internet. Tel est le cas par exemple d’un ordinateur exécutant le système d’exploitation Windows Server® 2008 et le service Routage et accès à distance pour fournir des services de connexion distante traditionnelle ou de connexion VPN à l’intranet d’une organisation.
-
Points d’accès sans fil qui fournissent un accès de niveau couche physique au réseau d’une organisation en utilisant des technologies de transmission sans fil.
-
Commutateurs qui fournissent un accès de niveau couche physique au réseau d’une organisation en utilisant des technologies de réseau local traditionnelles comme Ethernet.
-
Proxys RADIUS qui transfèrent les demandes de connexion à des serveurs RADIUS membres d’un groupe de serveurs RADIUS distants qui est configuré sur les proxys RADIUS.
Messages de requête d’accès RADIUS
Soit les clients RADIUS créent des messages de requête d’accès RADIUS et les transfèrent à un proxy ou un serveur RADIUS, soit ils transfèrent à un serveur RADIUS les messages de requête d’accès qu’ils ont reçus d’un autre client RADIUS mais n’ont pas créés eux-mêmes.
Les clients RADIUS ne traitent pas les messages de requête d’accès en effectuant l’authentification, l’autorisation et la gestion des comptes. Seuls les serveurs RADIUS accomplissent ces fonctions.
NPS, toutefois, peut être configuré comme proxy et serveur RADIUS simultanément, de sorte qu’il traite certains messages de requête d’accès et en transfère certains autres.
NPS en tant que client RADIUS
NPS se comporte en client RADIUS lorsque vous le configurez comme proxy RADIUS pour transférer des messages de requête d’accès à d’autres serveurs RADIUS en vue de leur traitement. Lorsque vous utilisez NPS comme proxy RADIUS, les étapes de configuration générales suivantes sont nécessaires :
-
Les serveurs d’accès réseau, tels que les points d’accès sans fil et les serveurs VPN, sont configurés avec l’adresse IP du proxy NPS en tant que serveur RADIUS désigné ou serveur d’authentification. Ceci permet aux serveurs d’accès réseau, qui créent des messages de requête d’accès à partir des informations qu’ils reçoivent des clients d’accès, de transférer les messages au proxy NPS.
-
Le proxy NPS est configuré en ajoutant chaque serveur d’accès réseau en tant que client RADIUS. Cette étape de la configuration permet au proxy NPS de recevoir des messages des serveurs d’accès réseau et de communiquer avec eux tout au long de l’authentification. De plus, des stratégies de demande de connexion sont configurées sur le proxy NPS pour spécifier quels messages de requête d’accès transférer à un ou plusieurs serveurs RADIUS. Ces stratégies sont aussi configurées avec un groupe de serveurs RADIUS distants, ce qui indique à NPS où envoyer les messages qu’il reçoit des serveurs d’accès réseau.
-
Le serveur NPS ou les autres serveurs RADIUS membres du groupe de serveurs RADIUS distants sur le proxy NPS sont configurés pour recevoir les messages émanant du proxy NPS. Ceci s’effectue en configurant le proxy NPS comme client RADIUS.
Propriétés du client RADIUS
Lorsque vous ajoutez un client RADIUS à la configuration NPS à travers le composant logiciel enfichable NPS ou moyennant l’utilisation des commandes netsh pour NPS, vous configurez NPS pour recevoir des messages de requête d’accès RADIUS émanant soit d’un serveur d’accès réseau, soit d’un proxy RADIUS.
Lorsque vous configurez un client RADIUS dans NPS, vous pouvez spécifier les propriétés suivantes :
-
Nom du client
Nom convivial du client RADIUS, qui en facilite l’identification lorsque vous utilisez le composant logiciel enfichable NPS ou les commandes netsh pour NPS.
-
Adresse IP
Adresse IPv4 (Internet Protocol version 4) ou nom DNS (Domain Name System) du client RADIUS.
-
Fournisseur du client
Fournisseur du client RADIUS. À la place, vous pouvez utiliser la valeur RADIUS standard pour fournisseur de client.
-
Secret partagé
Chaîne de caractères qui est utilisée comme mot de passe entre les clients, les serveurs et les proxys RADIUS. Lorsque l’attribut d’authentificateur de message est utilisé, le secret partagé sert également de clé pour chiffrer les messages RADIUS. Cette chaîne de caractères doit être configurée sur le client RADIUS et dans le composant logiciel enfichable NPS.
-
Attribut d’authentificateur de message
Décrit dans le document RFC 2869, « RADIUS Extensions » (en anglais), cet attribut est un hachage MD5 (Message Digest 5) de l’intégralité du message RADIUS. S’il est présent, l’attribut d’authentificateur de message RADIUS est vérifié. Si la vérification échoue, le message RADIUS est ignoré. De même, si l’attribut d’authentificateur de message est absent alors que les paramètres du client requièrent sa présence, le message RADIUS est ignoré. L’utilisation de l’attribut d’authentificateur de message est recommandée.
Remarques L’attribut d’authentificateur de message est requis et activé par défaut lorsque vous utilisez l’authentification EAP.
-
Client compatible avec le protocole NAP
Propriété qui spécifie que le client RADIUS est compatible avec le protocole NAP et permet à NPS d’envoyer des attributs NAP au client RADIUS dans le message d’acceptation de l’accès.